Organization のセキュリティおよび分析設定を管理する

セキュリティおよび分析設定の管理について

GitHub は、Organization のリポジトリを保護するのに役立つ場合があります。 Organization でメンバーが作成する既存または新規のリポジトリすべてについて、セキュリティおよび分析機能を管理できます。

セキュリティと分析の設定を表示する

GitHub Enterprise Server の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。
組織の隣の [設定] をクリックします。
サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。

表示されるページでは、Organization 内のリポジトリのすべてのセキュリティおよび分析機能を有効化または無効化にできます。

GitHub Advanced Security のライセンスを持っている場合、ページには Advanced Security 機能を有効化または無効化するオプションも含まれます。 GitHub Advanced Security を使用するリポジトリは、ページの下部に一覧表示されます。

既存のすべてのリポジトリの機能を有効または無効にする

すべてのリポジトリの機能を有効化または無効化できます。

注: GitHub Advanced Security を有効にした場合、これらのリポジトリに対するアクティブなコミッターは、GitHub Advanced Security のライセンスを使います。ライセンスの容量を超えた場合、このオプションは非アクティブになります。

注: "Organization のポリシー設定が原因で、GitHub Advanced Security を有効にできません" というエラーが発生した場合は、Enterprise 管理者に問い合わせて、Enterprise の GitHub Advanced Security ポリシーを変更するように依頼してください。詳しくは、「エンタープライズのコードセキュリティと分析のためのポリシーの適用」を参照してください。

組織のセキュリティと分析の設定に移動します。詳細については、「セキュリティと分析の設定を表示する」を参照してください。
[コードのセキュリティと分析] の下で、機能の右にある [すべて無効] または [すべて有効] をクリックして構成ダイアログボックスを表示します。 [GitHub Advanced Security] のコントロールが無効になるのは、GitHub Advanced Security に使用できるライセンスがない場合です。
ダイアログボックスの情報を確認します。
必要に応じて、機能を有効にする場合は、 [新しいリポジトリに対して既定で有効にする] をオンにします。
変更を行う準備ができたら、 [機能の無効化] または [機能の有効化] をクリックして、Organization 内のすべてのリポジトリの機能を無効または有効にします。

既存のリポジトリで1つ以上のセキュリティ及び分析機能を有効化すると、数分のうちにGitHub上に結果が表示されます。

既存のすべてのリポジトリは、選択された設定を持ちます。
新しいリポジトリのチェックボックスをオンにした場合、新しいリポジトリは選択した構成に従います。
有効化すると、Dependabot セキュリティ更新プログラムは、Dependabot alerts がトリガーされたときに、脆弱な依存関係をアップグレードするための pull request を作成します。

新しいリポジトリが追加されたときに機能を自動的に有効化または無効化する

組織のセキュリティと分析の設定に移動します。詳細については、「セキュリティと分析の設定を表示する」を参照してください。
[コードのセキュリティと分析] で機能を見つけて、組織の新しいリポジトリに対して既定でこの機能を有効または無効にします。

Dependabot のプライベート依存関係へのアクセスを許可する

Dependabot は、プロジェクト内の古い依存関係参照をチェックし、それらを更新するためのプルリクエストを自動的に生成できます。これを行うには、Dependabot がすべてのターゲット依存関係ファイルにアクセスできる必要があります。通常、1 つ以上の依存関係にアクセスできない場合、バージョン更新は失敗します。詳しくは、「GitHub Dependabot のバージョンアップデートについて」を参照してください。

デフォルトでは、Dependabot はプライベートリポジトリまたはプライベートパッケージレジストリにある依存関係を更新できません。ただし、依存関係が、その依存関係を使用するプロジェクトと同じ Organization 内のプライベート GitHub リポジトリにある場合は、ホストリポジトリへのアクセスを許可することで、Dependabot がバージョンを正常に更新できるようにすることができます。

コードがプライベートレジストリ内のパッケージに依存している場合は、リポジトリレベルでこれを設定することにより、Dependabot がこれらの依存関係のバージョンを更新できるようにすることができます。これを行うには、リポジトリの dependabot.yml ファイルに認証の詳細を追加します。詳しくは、「dependabot.yml ファイルの構成オプション」を参照してください。

Dependabot がプライベート GitHub リポジトリにアクセスできるようにするには：

組織のセキュリティと分析の設定に移動します。詳細については、「セキュリティと分析の設定を表示する」を参照してください。
[Dependabot にプライベートリポジトリへのアクセスを許可する] で、 [プライベートリポジトリの追加] または [内部およびプライベートリポジトリの追加] をクリックして、リポジトリの検索フィールドを表示します。
Dependabot アクセス権を付与するリポジトリの名前の入力を開始します。
Organization 内の一致するリポジトリのリストが表示され、アクセスを許可するリポジトリをクリックすると、許可リストにリポジトリが追加されます。
あるいは、リストからリポジトリを差k除するには、リポジトリの右のをクリックします。

Organization 内の個々のリポジトリから GitHub Advanced Security へのアクセスを削除する

[設定] タブから、リポジトリの GitHub Advanced Security 機能へのアクセスを管理できます。詳細については、「リポジトリのセキュリティと分析設定を管理する」を参照してください。ただし、Organization の [Settings] タブから、リポジトリの GitHub Advanced Security 機能を無効にすることもできます。

組織のセキュリティと分析の設定に移動します。詳細については、「セキュリティと分析の設定を表示する」を参照してください。
GitHub Advanced Security が有効になっている Organization 内のすべてのリポジトリのリストを表示するには、「GitHub Advanced Security リポジトリ」セクションまでスクロールします。

テーブルには、リポジトリごとの一意のコミッターの数が一覧表示されます。これは GitHub Advanced Security へのアクセスを削除することによって解放できるライセンスの数です。詳しくは、「GitHub Advanced Security の課金について」を参照してください。

あるリポジトリから GitHub Advanced Security へのアクセスを削除し、そのリポジトリに固有のアクティブコミッターによって使用されているライセンスを解放するには、隣にあるをクリックします。
確認ダイアログで、 [リポジトリの削除] をクリックして、GitHub Advanced Security の機能へのアクセスを削除します。

注: リポジトリの GitHub Advanced Security へのアクセスを削除する場合は、影響を受ける開発チームと連絡を取り、変更が意図されたものかを確認する必要があります。これにより、失敗したコードスキャンの実行をデバッグすることに時間を費すことがなくなります。